Informe de seguridad
La seguridad fortalece el negocio
LA FALTA DE VISIBILIDAD Los ataques a travĂŠs de HTTPS pueden constituir una vulnerabilidad para las empresas.
La falta de visibilidad
El uso de protocolos de encriptación, Transport Layer Security (Seguridad de la capa de transporte o TLS) o Secure Sockets Layer (Capa de conexión segura o SSL), para proteger el contenido web y de mensajes de correo electrónico está iniciando su segunda década. Una investigación desarrollada por la empresa canadiense de administración de banda ancha Sandvine reveló que la cantidad de usuarios de Internet que encriptan sus comunicaciones en línea se ha duplicado en América del Norte y cuadruplicado en Latinoamérica y Europa en el último año solamente.1 Afortunadamente, la encriptación ha llegado para quedarse, pero con ella también llegan sus riesgos. Para identificar las amenazas ocultas dirigidas al negocio, las empresas necesitan visibilidad completa del tráfico encriptado. No obstante, para cumplir con las reglamentaciones de privacidad locales y sus propias políticas de uso aceptable, las empresas deben contar con los medios para descifrar de manera selectiva este tráfico. Una estrategia de administración del tráfico encriptado debe contemplar una variedad de necesidades empresariales, políticas empresariales establecidas y normativas de cumplimiento.
1
2
https://www.sandvine.com/downloads/general/global-internet-phenomena/2014/1h-2014-globalinternet-phenomena-report.pdf
La falta de visibilidad
Los comienzos de la "Edad Media digital"
LOS 10 SITIOS WEB PRINCIPALES MÁS VISITADOS Aumento en el uso de la encriptación
A medida que las preocupaciones en torno a la privacidad alcanzan el nivel más elevado de todos los tiempos, las industrias donde los datos representan un bien preciado (redes sociales, el entorno móvil y las telecomunicaciones) han respondido comprensiblemente con una amplia adopción de la encriptación. Las preocupaciones referidas a la privacidad personal han llevado a empresas líderes como Google, Amazon y Facebook a alternar a un modelo de “HTTPS siempre activado” para proteger los datos en tránsito (ver Fig. 1). Cada minuto, se realizan 4 000 000 de búsquedas en Google; se comparten 2 460 000 publicaciones en Facebook; se descargan 48 000 aplicaciones de Apple y se realizan 23 300 horas de conversaciones en Skype2. Y todo esto está protegido por la encriptación SSL. Google anunció recientemente que los sitios con encriptación HTTPS tienen mayor valoración positiva en los resultados de las búsquedas en Google.3
Sites não criptografados
1 2 3 4 5 6 7 8 9 10
Google.com Facebook.com Youtube.com Yahoo.com Baidu.com Wikipedia.com Amazon.com Twitter.com Linkedin.com Qq.com
Sites criptografados (HTTPS)
Este incremento en la adopción de la “encriptación de transporte” tiene lugar en un entorno donde el uso de la tecnología de encriptación en general se está
Figura 1: 8 de los 10 sitios web principales en el mundo utilizan HTTPS (Fuente: Alexa)
transformando en hábito. Por ejemplo, el gigante tecnológico Apple anunció recientemente que su sistema operativo iOS 8 encriptará todos los datos, en forma predeterminada, en sus teléfonos y tabletas. Los datos protegidos incluyen fotos, mensajes, contactos, recordatorios y el historial de llamadas. La proliferación de datos generada por un mundo cada vez más conectado y la creciente preocupación por la privacidad de los datos constituyen una gran oportunidad para las amenazas cibernéticas graves y la pérdida de datos.
Informe de DOMO, Data Never Sleeps 2.0 (Los datos nunca duermen 2.0)
2
http://googleonlinesecurity.blogspot.com/2014/08/https-as-ranking-signal_6.html
3
3
La falta de visibilidad
EN 2017, MÁS DE LA MITAD DE LOS ATAQUES A REDES EMPLEARÁN ALGUNA FORMA DE TRÁFICO ENCRIPTADO PARA EVADIR LA SEGURIDAD.
No obstante, ¿la encriptación es equivalente a la seguridad?
En un período típico de siete días, Blue Coat halló que el 69 % de los 50 sitios web principales visitados por sus clientes utiliza HTTPS de forma predeterminada. Solo los sitios dedicados a la publicación de artículos de noticias o entretenimiento a diario (como ESPN, BBC News, CNN o Pandora) utilizan el protocolo HTTP sin encriptar y de fácil supervisión. Según la clasificación provista por Alexa, de los 10 sitios principales más visitados por los clientes en todo el mundo, casi todos utilizan la encriptación para entregar algún tipo de contenido. Con el objetivo de intentar controlar el tráfico encriptado, algunas empresas bloquean el tráfico a estos sitios, a pesar de las solicitudes de los empleados de acceder a estos sitios web durante las horas de trabajo. Si bien es un beneficio a los fines de la privacidad, el uso generalizado de la encriptación implica que muchas empresas no pueden controlar la información empresarial legítima que entra y sale de sus redes, lo cual crea un punto ciego cada vez mayor para las empresas. Además, este incremento en la falta de visibilidad crea oportunidades para que los atacantes manden malware directamente a los usuarios, evadiendo los métodos de seguridad de las redes. La escasa visibilidad del tráfico SSL representa una posible amenaza, especialmente debido a que los usos benignos y hostiles de SSL son indistinguibles para muchos dispositivos de seguridad. Desafortunadamente, el dilema de tener que elegir entre la privacidad personal y la seguridad empresarial da lugar a ataques de malware nuevo que involucran SSL en redes empresariales. Con el fin de que las empresas puedan proteger los datos de los clientes, necesitan visibilidad para asegurarse de que pueden ver las amenazas que se esconden detrás del tráfico encriptado. Se estima que el uso hostil de la encriptación aumentará en los próximos años. Gartner cree que, para 2017, más de la mitad de los ataques a redes empleará alguna forma de tráfico encriptado para evadir la seguridad.4 Esto se deberá, en parte, a que grandes propiedades web y servicios de host se pasarán al protocolo HTTPS. Mientras que los bancos y sitios de compras ya protegen los datos con este método de encriptación, HTTPS se está convirtiendo en el estándar, más que en la excepción.
4
4
Informe de Gartner, Security Leaders Must Address Threats from Rising SSL Traffic (Los líderes en seguridad deben abordar las amenazas del tráfico SSL en aumento), Jeremy D’Hoinne y Adam Hills, 9 de diciembre de 2013
La falta de visibilidad
Buenas noticias: puede mantener la privacidad y, al mismo tiempo, resguardar la seguridad
Una de las preocupaciones más grandes gira en torno al bajo nivel de sofisticación que los codificadores de malware necesitan para poner en riesgo a una red mediante la encriptación. ¿Por qué? Muchas empresas tienen la falsa convicción de que aquello que no pueden ver, no las puede dañar. Los ataques de malware, que utilizan la encriptación como un método de encubrimiento, no necesitan ser complejos debido a que los operadores de malware creen que la encriptación evita que la empresa perciba lo que están haciendo. La red de inteligencia global de Blue Coat observa habitualmente el tráfico encriptado utilizado para el envío y comando y control de malware, así como para otros tipos de actividad malintencionada, como el phishing. Además de robar datos personales de la máquina infectada, algunos de estos ataques aprovechan la ubicación de la máquina dentro de la red de la empresa para pivotar y robar información empresarial confidencial. Si partimos del supuesto que nadie quiere dejar de encriptar el tráfico, entonces las empresas necesitan un modo de detener las amenazas que ingresan a través del tráfico encriptado. La buena noticia es que puede preservar la privacidad de la información personal de los empleados y cumplir con las normativas, al mismo tiempo que protege la empresa de intrusiones y amenazas indeseadas. Una solución basada en políticas descifra e inspecciona únicamente el tráfico dirigido, con el fin de mejorar la seguridad de la red, al mismo tiempo que cumple con las leyes y políticas. Se pueden combinar protocolos de seguridad abiertos y transparentes, junto con controles estrictos que limiten el uso de datos descifrados (p.ej.: seguridad de red) con avisos de supervisión de TI regionales y personalizados dirigidos a los empleados para que mantengan el cumplimiento de los protocolos de privacidad. El verdadero riesgo es que una empresa considere que la privacidad y la seguridad son excluyentes entre sí. La privacidad no debe sacrificarse en aras de la seguridad. Las justificaciones comerciales legítimas permiten a la empresa preservar la seguridad de la red y proteger la propiedad intelectual y, al mismo tiempo, mantener la integridad de los datos personales.
EN UN PERÍODO TÍPICO DE 7 DÍAS
La red de inteligencia global recibe… Agenda semanal Domingo
Lunes
Más de 40.000 solicitudes a hosts recientemente clasificados como maliciosos a través de HTTPS, una indicación contundente de
Martes
Miércoles
Jueves
Viernes
nuevas infecciones. Más de 100.000 solicitudes a servidores de malware conocidos a través de HTTPS, una indicación contundente de
exfiltración en progreso. Sábado
Figura 2: En un período típico de siete días, Blue Coat Labs recibe aproximadamente 100 000 solicitudes de información sobre sitios que utilizan el protocolo HTTPS para comando y control de malware.
La administración del tráfico encriptado permite a las organizaciones proteger a las partes interesadas, mediante la adopción de un enfoque inteligente sobre aquello que se ve y aquello que no. La encriptación no es el enemigo; protege su empresa, a sus clientes y empleados. La administración del tráfico encriptado es fundamental para garantizar la seguridad de prácticamente cualquier entidad valiosa de proteger. Los servicios como el correo electrónico, los bancos y las finanzas, los servicios basados en nube y los sistemas industriales controlan algunos de los datos de mayor importancia para cualquier empresa.
5
La falta de visibilidad
EL DESCIFRADO Y LA PRIVACIDAD PUEDEN COEXISTIR.
No obstante, los riesgos asociados a este método protector de mensajes, tecnologías de transferencia de archivos y aplicaciones en nube no pueden ignorarse. Puede ocurrir una pérdida significativa de datos como consecuencia de actos maliciosos efectuados por personas ajenas hostiles o por empleados disconformes que pueden divulgar información confidencial fácilmente. En la actualidad, se requiere un equipo atento que se encargue de responder ante incidentes de seguridad, de lo contrario, las consecuencias pueden ser graves.
Conclusión
Como ya se mencionó, el malware que se oculta en el tráfico encriptado es poco sofisticado habitualmente, lo que constituye una oportunidad para las empresas de encontrar y bloquear ataques fácilmente luego de ser descifrados. A pesar del esfuerzo conjunto realizado por el gobierno y las empresas privadas contra los intentos de explotación por parte de los delincuentes cibernéticos, los ataques son implacables. Después de que las autoridades neutralizaron efectivamente a Zeus5, uno de los tipos de malware troyanos más exitosos en una intervención coordinada, el enfoque de los delincuentes centrado en el robo de datos necesitó una alternativa. Dyre, un troyano originado en Ucrania ampliamente distribuido que tiene como finalidad el robo de contraseñas, está intentando ocupar el espacio vacío de poder que dejó Zeus cuando fue neutralizado. Dyre reemplazó rápidamente a Zeus apareciendo por todas partes y utilizando los mismos mecanismos de infección y logrando los mismos objetivos, con la ayuda de la encriptación. Todo el tráfico de comando y control de Dyre se envía de regreso a una infraestructura con TLS/SSL, en forma predeterminada. Sin el descifrado, el bot puede ingresar a la red de una empresa sin ser detectado, engañando a las víctimas para que hagan clic en enlaces a malware contenido en mensajes de correo electrónico de phishing. Una vez que ingresan, las organizaciones delictivas extraen la información de los usuarios, escondidas bajo la encriptación, para poder venderla al mejor postor.
5
6
http://en.wikipedia.org/wiki/Zeus_(Trojan_horse)
La falta de visibilidad
Encriptación y visibilidad
Como consecuencia de infracciones de datos masivas recientes y del uso regular de la encriptación que puede enmascarar la exfiltración delictiva de información de propiedad exclusiva, el tráfico encriptado debe administrarse adecuadamente. La administración del tráfico encriptado es un mecanismo para usar la encriptación de manera responsable, con el fin de proteger los datos y, al mismo tiempo evitar que los actores con propósitos hostiles abusen de estos servicios. El descifrado no debe poner riesgo la privacidad, sino que debe ofrecer a las empresas un modo eficaz para administrar el tráfico. El riesgo de que ocurra un incidente de seguridad, que en última instancia podría producir una pérdida de datos grave, no es algo que sucede comúnmente a otras empresas. Es momento de tomar las riendas de la privacidad, en lugar de cerrar los ojos al creciente volumen de tráfico encriptado. La falta de visibilidad que se crea cuando la web cierra los ojos al tráfico de red tiene graves implicancias para la empresa pero, además, es la que tiene la llave de la privacidad de los datos. Al abordar el tráfico encriptado a través de un enfoque claro de administración impulsado por políticas, las empresas pueden estar al frente en la guerra cibernética.
Las mejores prácticas para administrar el tráfico encriptado Las exigencias de seguridad deben mantener un equilibrio con los requisitos de privacidad y cumplimiento. Debido a que las normativas de cumplimiento y las políticas de privacidad de los empleados varían geográficamente, según cada organización y cada industria, las empresas necesitan capacidades de encriptación flexibles, adaptables e impulsadas por políticas para satisfacer sus necesidades empresariales únicas. Para preservar la privacidad de los empleados y, al mismo tiempo, combatir las amenazas que se ocultan en el tráfico encriptado, los departamentos de seguridad de TI deben: • Llevar un inventario y planificar el crecimiento: evalúe el volumen de tráfico SSL de red encriptado en su organización (habitualmente se registra entre un 35 y un 45 por ciento de tráfico de red encriptado), incluida la combinación de tipos de tráfico (además del tráfico web/HTTPS), el volumen actual y el aumento proyectado. • Evaluar el riesgo del tráfico sin inspeccionar: además del malware que ingresa a la empresa, examine qué tipos de datos están en riesgo desde la perspectiva de la seguridad (exfiltración) y la privacidad. Intercambie opiniones con los departamentos de TI, seguridad, Recursos Humanos y de asuntos jurídicos. • Elaborar un plan de acción: evalúe las políticas de "uso aceptable", los requisitos de privacidad y las normativas de cumplimiento dirigidos a los empleados y cree políticas formales para controlar y administrar el tráfico encriptado, en base al tipo de tráfico, el origen y otras vulnerabilidades de seguridad y privacidad. • Aplicar el control granular de políticas: identifique, inspeccione y descifre de manera selectiva el tráfico SSL basado en la web, de acuerdo con las políticas establecidas. Luego, los datos descifrados pueden ser procesados por las herramientas de seguridad en las que ya ha invertido para la red, como antivirus para la red, soluciones de protección contra amenazas avanzados, DLP y otras. • Supervisar, refinar y aplicar: supervise, refine y aplique constantemente las políticas de privacidad y seguridad para el tráfico y las aplicaciones encriptados dentro y fuera de su red, y asegúrese de que estén sincronizados con las políticas y normativas de la empresa.
7
La seguridad fortalece el negocio
© 2014 Blue Coat Systems, Inc. Reservados todos los derechos. Blue Coat, los logotipos de Blue Coat, ProxySG, PacketShaper, CacheFlow, IntelligenceCenter, CacheEOS, CachePulse, Crossbeam, K9, el logotipo de K9, DRTR, Mach5, Packetwise, Policycenter, ProxyAV, ProxyClient, SGOS, WebPulse, Solera Networks, los logotipos de Solera Networks, DeepSee, “See Everything. Know Everything.”, “Security Empowers Business” y BlueTouch son marcas comerciales registradas de Blue Coat Systems, Inc. o sus filiales en los Estados Unidos y otros países determinados. Esta lista puede estar incompleta, y la ausencia de una marca comercial en esta lista no significa que no sea una marca comercial de Blue Coat o que Blue Coat haya dejado de utilizar la marca comercial. Todas las demás marcas comerciales que pertenecen a terceros y se mencionan en este documento pertenecen a sus respectivos propietarios. Este documento solo tiene fines informativos. Blue Coat no ofrece ninguna garantía expresa, implícita ni reglamentaria en lo que respecta a la información de este documento. Los productos, los servicios técnicos y cualquier otro dato técnico de Blue Coat al que se haga referencia en este documento están sujetos a leyes, normativas y requisitos de control y sanciones a la exportación de los EE. UU., y pueden estar sujetos a normativas de importación y exportación en otros países. Usted se compromete a cumplir estrictamente estas leyes, normativas y requisitos, y reconoce que tiene la responsabilidad de obtener cualquier licencia, permiso y otras aprobaciones que puedan ser requeridas a fin de exportar, reexportar, transferir en un país o importar luego de la entrega a usted.
Blue Coat Systems Inc. latam.sales@bluecoat.com Sede Corporativa Sunnyvale, CA USA +1.408.220.2200 Blue Coat Brasil São Paulo +55 11 3443 6879 Blue Coat México México D.F. +52 55 3300 5825 Blue Coat Argentina Buenos Aires +54 (11) 4850 1215
v.BC-THE-VISIBILITY-VOID-EN-v1f-1114
8